Análisis de tráfico de datos

Transcripción

1 Dirigido a: INFORME TÉCNICO ANÁLISIS Eduardo DE Parraguez TRÁFICO DE DATOS khipu Octubre INFORME TÉCNICO Análisis de tráfico de datos l4.co m 1 de 25

2 1 Control de versiones El siguiente cuadro muestra el historial de cambios sobre el presente documento. Fecha Autor Versión Comentarios Kevin Möller 1.0 Creación del documento Kevin Möller 1.0 Documentación HernanMöller 1.0 Revision 2 de 24

3 2 Introducción La aplicación khipu permite a personas y empresas, pagar y cobrar, usando sus cuentas corrientes o cuentas vista del banco, de manera fácil y segura. El terminal de pago de khipu es un navegador web especializado en pagos, por lo que, valida el correcto uso de las páginas de los bancos, forma parte de un sistema que genera comprobantes de pago firmados electrónicamente, es reconocido por los principales antivirus del mundo y se instala desde fuentes oficiales de cada plataforma. Adicionalmente, khipu no almacena ni envía claves u contraseñas a sus servidores o a terceros. El análisis consiste en el monitoreo y análisis de todo el tráfico que genera la aplicación para las distintas plataformas, con el fin de detectar conexiones sospechosas. Esta revisión incluye la versión del terminal de pagos disponible para ios y Android. 3 de 24

4 3 Objetivo El presente análisis se realiza mensualmente, en un día y hora definida por Nivel 4 sin que khipu conozca esta información de antemano y tiene por objetivo certificar que khipu no recibe las claves bancarias de sus usuarios ni las comparte con terceros. Adicionalmente, se realiza un Ethical Hacking a los terminales de pago móviles en Android e ios y Android 4 de 24

5 4 Metodología La metodología utilizada para la realización de este análisis de tráfico de red se basa en la utilización de un equipo que captura este tráfico entre el terminal de pagos y los bancos, de acuerdo al siguiente diagrama: Esta u otras metodologías pueden ser realizadas por cualquier organización o persona natural que así lo requiera. 5 de 24

6 5 Ámbito Para el actual periodo se registraron cambios para las aplicaciones de Android y ios en su versión y en ios, se observaron cambios en su HASH. Platafor ma Versión Android ios 6.26 Linux i Linux x OSX Windows SHA256SUM 412ddd46cdbf2c5ec573a181e6f4731c51074e731e806989d6f7 516f9325db9f 4b929f60a5a512b745a5957dd3b931ed799f340f6841b568f421 c1bcab86e321 f c3cbce75ecc9d6fdf9632ffb f4992ef0ed8aaf 82e6b1b1 9321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d7 9e0e77c908f 637f66c0b5c4d04f2291ffc71ee ee3e1e6c171f1caeb34 30ff16a577 e610e e06ee53797db22f97f584c3063ae311ab8fab68a 5f81faf071e 6 de 24

7 6 Análisis de tráfico de datos Todo el tráfico analizado entre el terminal de pagos y los bancos se estableció mediante un canal seguro de comunicación. Si bien se detectó tráfico no seguro (http) este corresponde a la validación del estado de los certificados SSL de algunos sitios, mediante OCSP y no durante la interacción con algún banco, en ningún caso se enviaron credenciales de usuario o datos de relacionados con las transacciones realizadas con el terminal de pagos al momento de realizar las pruebas. Finalmente, el resto del tráfico corresponde a consultas DNS y tráfico propio de una red local, como NTP, NETBIOS, ARP, entre otros. En los siguientes puntos se detalla el tráfico detectado durante el uso de la aplicación evidenciando que las transacciones se realizan de forma segura y no se almacenan datos de usuario como, por ejemplo, claves del banco. 6.1 Tráfico TLS (seguro) entre el terminal de pagos y Banco BCI IPA 7 de 24

8 6.2 Tráfico TLS (seguro) entre el terminal de pagos y Banco BBVA IPA 6.3 Tráfico TLS (seguro) entre el terminal de pagos y Banco ESTADO IPA 8 de 24

9 Tráfico DNS IPA Tráfico HTTP IPA 9 de 24

10 Otro Tráfico IPA 6.4 Tráfico TLS (seguro) entre el terminal de pagos y Banco BCI APK 1 de 24

11 6.5 Tráfico TLS (seguro) entre el terminal de pagos y Banco BBVA APK 6.6 Tráfico TLS (seguro) entre el terminal de pagos y Banco BICE APK 1 de 24

12 6.7 Tráfico DNS APK 6.8 Tráfico HTTP APK 6.9 Otro Tráfico APK 1 de 24

13 7 Análisis del terminal de pagos Como se puede ver en las siguientes tablas el tráfico que se genera al utilizar la aplicación de khipu solo se realiza con servidores confiables mediante canales seguros. 7.1 IPA Origen Destino Tipo de Tráfico Descripción TLSv1.2 khipu TLSv1.2 Banco BCI TLSv1.2 Banco BBVA TLSv1.2 Banco ESTADO 7.2 APK Origen Destino Tipo de Tráfico Descripción TLSv1.2 khipu TLSv1.2 Banco BCI TLSv1.2 Banco BBVA TLSv1.2 Banco ESTADO 1 de 24

14 8 Análisis SSL El siguiente análisis tiene como objetivo determinar el nivel de seguridad en la implementación de SSL/TLS, se realizarán pruebas para determinar si se ve afectado por las vulnerabilidades conocidas hasta el momento khipu.com puerto 443 Vulnerabilidad Identificador Estado Observaciones Heartbleed CVE No vulnerable CCS CVE No vulnerable ROBOT CVE No vulnerable Secure Renegotiation CVE No vulnerable Secure Client-Initiated Renegotiation CVE No vulnerable CRIME CVE No vulnerable BREACH CVE No vulnerable POODLE CVE No vulnerable TLS_FALLBACK_SCSV RFC 7507 No vulnerable SWEET32 CVE No vulnerable FREAK CVE No vulnerable DROWN CVE No vulnerable LOGJAM CVE No vulnerable BEAST CVE Vulnerable LUCKY13 CVE Vulnerable RC4 CVE CVE No vulnerable 1 de 24

15 Se detectaron 2 vulnerabilidades en la implementación de SSL/TLS del sitio khipu.com las que afectan la confidencialidad de la información, sin embargo, estas vulnerabilidades tienen un alto grado de dificultad de explotación y se requieren condiciones especiales para su correcta explotación. 9 Referencias Nombre Heartbleed ROBOT BREACH POODLE FREAK Logjam BEAST RC4 SLOTH DROWN Padding Oracle SWEET32 LUCKY13 Link de referencia de 24

16 10 Ethical Hacking Mobile Procesos automatizados y verificación manual Desempaquetado Decompilación Análisis de integridad Análisis de metadatos Análisis de strings Búsqueda con expresiones regulares Análisis en VirusTotal (malware) Análisis de Package: Se analiza de forma estática el paquete compilado para los distintos sistemas operativos En el caso de ios (para iphone) el archivo IPA. Estos paquetes son sometidos a distintos tipos de análisis que verifican su integridad y seguridad. Ingeniería Reversa: Durante este proceso las aplicaciones son decompiladas con el fin de realizar un análisis de código. Este tipo de análisis permite detectar malas prácticas de desarrollo, fugas de información mediante el código fuente, como direcciones IP, usuarios, claves. Además, permite conocer internamente los distintos componentes que utiliza la aplicación. 1 de 24

17 11 Análisis IPA El resultado del análisis para la aplicación móvil es el siguiente: Nombre SHA256 Tamaño Tipo URLs Interesantes IPs encontradas s encontrados khipu6.24.ipa 4b929f60a5a512b745a5957dd3b931ed799f340f6841b568f421c1bcab86e MB Iphone URLs detectadas No se encontraron URLs en el análisis. Direcciones de correo detectados No se encontraron direcciones IP en el análisis. Direcciones de correo detectados No se encontraron direcciones de correo en el análisis. 1 de 24

18 12 Análisis APK El resultado del análisis para la aplicación móvil es el siguiente: Nombre SHA256 Tamaño Tipo URLs Interesantes IPs encontradas s encontrados com.khipu.android apk 4b929f60a5a512b745a5957dd3b931ed799f340f6841b568f421c1bcab86e MB Android URLs detectadas Direcciones de correo detectados No se encontraron direcciones IP en el análisis. Direcciones de correo detectados No se encontraron direcciones de correo en el análisis. 1 de 24

19 13 Análisis de Malware Se hizo un análisis utilizando distintos motores de antivirus, lo que permite la detección de virus, gusanos, troyanos y todo tipo de malware que contengan los archivos.ipa y.apk correspondiente a ios y Android respectivamente. En este periodo se analizó la.ipa debido a un cambio en su hash. IPA APK Motor Estado Motor Estado Ad-Aware Ad-Aware AegisLab AegisLab AhnLab-V3 AhnLab-V3 Alibaba Alibaba ALYac ALYac Antiy-AVL Antiy-AVL Arcabit Arcabit Avast Avast Avast-Mobile Avast-Mobile AVG AVG Avira (no cloud) AVware Avira (no cloud) AVware Babable Babable 1 de 24

20 Baidu Baidu BitDefender BitDefender Bkav Bkav CAT- QuickHeal ClamAV CAT-QuickHeal ClamAV CMC CMC Comodo Comodo Cyren Cyren DrWeb DrWeb Emsisoft Emsisoft ESET-NOD32 ESET-NOD32 F-Prot F-Prot F-Secure F-Secure Fortinet Fortinet GData GData Ikarus Ikarus Jiangmin Jiangmin K7AntiVirus K7AntiVirus K7GW K7GW 2 de 24

21 Kaspersky Kaspersky Kingsoft Kingsoft Malwarebytes Malwarebytes MAX MAX McAfee McAfee McAfee-GW- Edition Microsoft McAfee-GW-Edition Microsoft escan escan NANO-Antivirus NANO-Antivirus Panda Panda Qihoo-360 Qihoo-360 Rising Rising Sophos AV Sophos AV SUPERAntiSpywar e Symantec SUPERAntiSpyware Symantec TACHYON Tencent Symantec Mobile Insight TACHYON TheHacker Tencent VBA32 TheHacker VIPRE TrendMicro 2 de 24

22 ViRobot Yandex TrendMicro-House- Call Trustlook Zillya VBA32 ZoneAlarm by Check Point Zoner VIPRE ViRobot Yandex Zillya ZoneAlarm by Check Point Zoner 2 de 24

23 14 Vulnerabilidades declaradas A continuación, se listan las vulnerabilidades declaradas por terceros que puedan comprometer la seguridad de la aplicación y khipu.com. En este periodo de análisis se encontraron 2 vulnerabilidades que afectan a la implementación de SSL/TLS, la primera de ellas es BEAST (CVE ), esta vulnerabilidad afecta a la versión 1 de TLS, esta vulnerabilidad se encuentra mitigada al soportar la versión 1.1 y 1.2 de TLS, para corregirla correctamente, se debe desactivar el soporte para TLS 1. La segunda vulnerabilidad es LUCKY13 (CVE ) esta afecta a las implementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block- Chaining), por lo cual la mitigación es deshabilitar los cifrados que utilicen estos métodos y siempre tener la última versión estable de OpenSSL. Referencias de 24

24 15 Anexos # Archivo SHA256SUM iOS.p cap d52792f6efa7dfb215b e0c03a0e589a9626d1ef4b54e 130ab3559b APK. pcap 953b6e9943d6ab46d0a270b d5b44fec9f6fc170353b2 271be4448f55c 2 de 24